[SELinux] Activer ou désactiver

April 06, 2020

Page content

Avant de commencer, j'aimerais remercier IoT.bzh de m'avoir donné l'opportunité d'écrire cet article.

Activer ou désactiver SELinux

Vous pouvez vérifier le status de SELinux avec la commande :

$ getenforce

Il existe trois possibilités :

Enforcing (SELinux est activé)
Permissive (SELinux est activé mais il ne bloque rien)
Disabled (SELinux est désactivé)

Je vous recommande de ne jamais désactiver totalement SELinux. Activez au moins le mode permissif.

Pourquoi ne faut-il pas désactiver SELinux

Tout d’abord, cette désactivation va réduire drastiquement la sécurité de votre système.

De plus, si SELinux est désactivé, il va arrêter de labéliser les fichiers. Si un jour vous décidez de redémarrer SELinux, tout votre système devra être relabélisé ce qui prend un long moment.

Pour cette raison, il est préférable d’utiliser le mode permissif de manière temporaire.

Changer le mode de SELinux

Changement dur

Vous pouvez changer le mode de SELinux en modifiant le fichier : /etc/selinux/config et plus précisément la variable SELINUX

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
SELINUX=permissive
# SELINUXTYPE= can take one of these three values:
#     targeted - Targeted processes are protected,
#     minimum - Modification of targeted policy. Only selected processes are protected.
#     mls - Multi Level Security protection.
SELINUXTYPE=targeted

`SELINUXTYPE' permet de choisir la politique de sécurité à charger. Nous en discuterons dans un autre article.

Vous devez redémarrer votre ordinateur pour que les changements prennent effets.

Changement temporaire

Vous pouvez changer temporairement le mode avec la commande setenforce. La configuration sera réinitialisée au redémarrage.

$ setenforce 0
## => Permissive
$ setenforce 1
## => Enforcing